Site-to-Site IPSec VPN - CHILD_SA-määritys '<name>' ei löytynyt

Luotu - Päivitetty
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Lisäkysymyksiä? Lähetä pyyntö

Tärkeä ilmoitus:
Hyvä asiakas, huomaathan, että käytämme konekäännöstä tarjotaksemme artikkeleita paikallisella kielelläsi. Kaikkia tekstejä ei välttämättä ole käännetty tarkasti. Jos sinulla on kysyttävää tai epäilyksiä käännetyn version tietojen tarkkuudesta, tarkista alkuperäinen artikkeli täältä:Alkuperäinen versio

Tässä artikkelissa selitetään, milloin virhe CHILD_SA config '' not found voi ilmetä Zyxel-palomuureissa, miksi se tapahtuu ja mitä toimenpiteitä sen ratkaisemiseksi voidaan toteuttaa. Ongelma ei yleensä johdu virheellisistä VPN-asetuksista, vaan siitä, miten palomuuri luo sisäisesti vaiheen 2 (Child SA) kokoonpanon.

f1f0008e-8168-44bc-9ca7-e2e3151a8f3b.png

Virheen kuvaus

Kun yrität muodostaa Site-to-Site IPSec VPN -yhteyden Zyxel-palomuurilla, seuraava virheilmoitus tulee näkyviin

Komento epäonnistui: CHILD_SA-konfiguraatiota '' ei löydy

Virhe esiintyy useimmiten, kun napsautetaan ”Yhdistä”-painiketta, vaikka kaikki VPN-parametrit näyttävät oikeilta käyttöliittymässä.

Mitä tämä virhe tarkoittaa?

Tämä virhe osoittaa, että vaihetta 2 (Child SA) – VPN-määrityksen osaa, joka määrittää paikalliset ja etäiset aliverkotei ole luotu tai tallennettu oikein palomuurin sisälle.

Tärkeitä huomautuksia:

  • Vaikka käyttöliittymässä näkyy oikeat verkot

  • Vaikka samat IP-osoitteet on valittu osoitekirjasta

Sisäinen Child SA -objekti voi puuttua tai olla vioittunut.

Milloin tämä ongelma esiintyy useimmin?

Tämä virhe on yleisempi seuraavissa tilanteissa:

  • Ensimmäinen VPN-tunneli uudessa tai äskettäin asennetussa palomuurissa

  • Osoitekirjaobjektien käyttö vaiheen 2 valitsimissa

  • Sekaympäristöt, esimerkiksi:

    • H-sarja (Nebula-hallinnoitu) ↔ USG Flex (itsenäinen)

  • VPN on määritetty Nebula:n kautta, mutta etälaite ei ole H-sarjan laite

  • VPN-määritys on luotu, mutta sitä ei ole sovellettu oikein (Apply)

Miksi näin tapahtuu

Palomuuri muuntaa sisäisesti vaiheen 2 asetukset (paikalliset ja etäverkot) Child SA -merkinnöiksi.

Joissakin tapauksissa:

  • Child SA -merkintöjä ei luoda

  • Tai ne luodaan virheellisesti

  • Tai niitä ei tallenneta ensimmäisen asennuksen aikana

Tämän vuoksi palomuuri ei löydä tarvittavaa Child SA -merkintää yrittäessään muodostaa yhteyttä ja näyttää virheilmoituksen.

Suositeltu ratkaisu (vaihe vaiheelta)

  • Poista olemassa oleva Site-to-Site VPN -määritys molemmista laitteista

  • Luo VPN alusta alkaen (käytä samoja parametreja PSK, algoritmeja, verkkoja)

Suositeltu määritysmenetelmä

Jos etälaite on USG Flex (ei H-sarja, itsenäinen):

  • Määritä VPN paikallisen web-käyttöliittymän avulla

  • Käytä klassista politiikkapohjaista IPSec-protokollaa

Tämä menetelmä tarjoaa paremman yhteensopivuuden ja vakaamman toiminnan kuin VPN:n konfigurointi Nebula:n kautta.

Tarkista vaiheen 2 asetukset

Varmista, että

  • Paikalliset ja etäiset aliverkot ovat oikein

  • Aliverkot eivät ole päällekkäisiä

Osoitekirjaobjekteja voidaan käyttää, mutta jos ongelma jatkuu:

  • Määritä verkot väliaikaisesti manuaalisesti ilman osoitekirjan objekteja

Yhdistä tunneli uudelleen

  • Napsauta Yhdistä

  • Useimmissa tapauksissa virhe häviää heti tunnelin uudelleen luomisen jälkeen

Tämän osion artikkelit

Näytä lisää
Oliko tämä artikkeli hyödyllinen?
0/0 koki tästä olevan apua
Jaa

Kommentit

0 kommenttia

Kirjaudu sisään jättääksesi kommentin.